STRATEGIE4. Mai 2022

Regulierung von Cloud-Services in der Versicherungsbranche – Schmerzpunkt oder Chance?

Experte für Cloud-Services: Markus Priller, Deloitte
Markus Priller, DeloitteDeloitte

Der Weg in die Cloud gleicht für viele Versicherungsunternehmen einem Hürdenlauf, nicht zuletzt aufgrund aufwendiger und komplexer Regulationsanforderungen. Dabei birgt die effiziente, innovative und regelkonforme Cloud-Nutzung für die Assekuranz die Aussicht auf eine Reihe messbarer Vorteile – und zwar sowohl in Richtung Effizienz als auch in Sachen Kostensenkung.

 von Markus Priller und Daniel Cano, Deloitte

Mit den Regelwerken und Verordnungen der Versicherungsaufsichtsrechtlichen Anforderungen an die IT (VAIT; siehe Kasten unten), der vorgelegten VAIT-Novelle und dem Entwurf zum Digital Operational Resilience Act (DORA; Kasten 2) wird die Nutzung der Cloud in Versicherungsunternehmen stärker reguliert.
Experte für Cloud-Services: Daniel Cano, Deloitte
Daniel Cano, DeloitteDeloitte

Zunehmend geht die europäische und nationale Regulation über Sicherheitsaspekte hinaus und adressiert nun Bereiche wie Compliance und Risikomanagement für Cloud-Auslagerungen. Durch das kürzliche Schrems II-Urteil des Europäischen Gerichtshofs, das Auswirkungen auf den internationalen Datentransfer und somit auf viele Cloud-Lösungen hat, entstehen zusätzliche Handlungsfelder für Versicherungen.

Auch wenn diese anwachsende Regulierung die Nutzung in der Praxis erschwert, setzen Versicherungsunternehmen im Markt verstärkt auf die Cloud – das geht aus einer aktuellen Studie der Insurance Group Deloitte und Google Cloud hervor: Darin zeigt sich, dass die Cloud-Transformation derzeit insbesondere von der Modernisierung der IT und der Sicherung der Wettbewerbsfähigkeit getrieben wird.

Die Entwicklung registrieren die nationalen wie europäischen Regulierer und Aufsichtsbehörden, die mit entsprechenden regulatorischen Maßnahmen reagieren. Versicherungsunternehmen stellen diese Bestimmungen zunächst vor Hürden, was in der Studie deutlich wird:

Für über 80 Prozent der befragten Versicherer stellen Regulierung und Datenschutz die größte Herausforderung bei der Einführung von cloudbasierten IT-Lösungen dar.”

(1) VAIT Kapitel 8
VAIT Kapitel 8: „Bei Aus­glie­de­run­gen von IT-Dienst­leis­tun­gen – un­ab­hän­gig da­von, ob es sich hier­bei um die Haupt­dienst­leis­tung oder um ei­ne er­gän­zen­de Ne­ben­dienst­leis­tung zu ei­ner an­de­ren Haupt­dienst­leis­tung han­delt – sind die hier­für je­weils gel­ten­den An­for­de­run­gen zu er­fül­len; ins­be­son­de­re ist vor­ab ei­ne Ri­si­ko­ana­ly­se durch­zu­füh­ren. Dies gilt für Aus­glie­de­run­gen von sol­chen IT-Dienst­leis­tun­gen, die dem Un­ter­neh­men durch ein Dienst­leis­tungs­un­ter­neh­men über ein Netz be­reit­ge­stellt wer­den (z. B. Re­chen­leis­tung, Spei­cher­platz, Platt­for­men oder Soft­ware) und de­ren An­ge­bot, Nut­zung und Ab­rech­nung dy­na­misch und an den Be­darf an­ge­passt über de­fi­nier­te tech­ni­sche Schnitt­stel­len so­wie Pro­to­kol­le er­fol­gen (Cloud-Dienstleistungen).“

Versicherer im Spannungsfeld zunehmender Regulatorik

Die Liste der Vorgaben, die Versicherer bei der Cloud-Nutzung beachten müssen, ist lang: Beispielhaft sind hier Kapitel 8 der VAIT mit Vorgaben zum Outsourcing von IT Services, die Kapitel I bis VII des DORA mit Vorgaben zum ICT Risk Management, ICT Incident Reporting und insbesondere zum Monitoring von ICT Third-Party-Providern sowie die MaRisk in Kombination mit weiteren BaFin Anforderungen zu nennen. Zudem ist in der praktischen Prüfungsrealität weiterhin die „Orientierungshilfe zu Auslagerungen an Cloud-Anbieter“ der BaFin und Deutschen Bundesbank von November 2018 relevant. Die Normen haben weitreichende Folgen für Versicherungsunternehmen, weil nicht nur Sicherheitsaspekte von der Aufsicht gefordert werden, sondern auch Vorgaben bei der Nutzung von Cloud-Anwendungen in Bereichen wie Risikomanagement und Compliance befolgt werden müssen.

All diejenigen, die für die Einführung und Nutzung von Cloud-Lösungen in einem Unternehmen die Verantwortung tragen, sind gefordert, abteilungsübergreifend zu kommunizieren und zu handeln – oftmals kein leichtes Unterfangen.”

(2) Digital Operational Resilience Act (DORA)
Versicherungen müssen im Rahmen von DORA festlegen, welche TP Cloud Service Provider als kritisch eingestuft werden. Insgesamt geht es um die Stärkung der digitalen Resilienz. Hierbei gibt es Berührungspunkte zum Themenkomplex „Cloud“.​ Herausforderungen bestehen unter anderem in folgenden Bereichen:​ Risk Management von ICT Risiken; ICT-incident Reporting​; Besseres Monitoring von ICT TPs​; Stärkung von Präventiv- und Resilienzmaßnahmen.

Um mit diesen Anforderungen Schritt zu halten und die Transformation in die Cloud erfolgreich anzugehen, ist es sinnvoll, im ersten Schritt eine Regulatorik-integrierte Cloud-Strategie zu entwickeln und in der Folge ein klares Zielbild zu definieren. So können wesentliche Aspekte, wie die regulatorischen Anforderungen an den Datenschutz, von Beginn an integriert werden.

Datenschutz als Schlüsselelement einer regulierungskonformen Cloud-Nutzung

Anders als bei der Datenverarbeitung innerhalb des Konzerns werden bei der Cloud-Nutzung Daten auf Servern von Drittanbietern gespeichert und verarbeitet. Außerdem werden Daten oftmals grenzübergreifend transferiert, was aufgrund unterschiedlicher internationaler Datenschutzanforderungen zu einer hohen Komplexität führen kann. Zu nennen ist hier beispielsweise die Europäische General Data Protection Regulation (GDPR). Herausfordernd sind Situationen, in denen Datenschutzanforderungen in einem Land im Konflikt mit Vorgaben zu Schutzniveaus anderer Länder stehen. Derartige Widersprüche lassen sich beim europäischen Datenschutz und beispielsweise US-amerikanischen Sicherheitsgesetzen beobachten. Eine rechtlich einwandfreie Umsetzung erfordert daher juristisches Know-How und Erfahrung im Umfeld des internationalen Datenschutzrechts. Für zusätzlichen Handlungsbedarf sorgt das Schrems II-Urteil:

Demnach müssen im Bereich des Data Mappings die Datenabflüsse an Cloud-Dienstleister in Drittstaaten identifiziert und dokumentiert werden.”

In puncto Prüfung des Schutzniveaus ist auf Einzelfallbasis vorzugehen und zu unterscheiden, ob für das jeweilige Drittland ein Angemessenheitsbeschluss der Europäischen Kommission vorliegt beziehungsweise ein gleichwertiges Schutzniveau besteht. Falls dies nicht der Fall ist, sind weitere technische und vertragliche Maßnahmen zu implementieren. Auch sollten mögliche reaktive Maßnahmen, wie eine Verlagerung der Datenverarbeitung in ein anderes Land, geprüft werden, falls in dem Drittland kein angemessenes Datenschutzniveau gewährleistet werden kann.

Damit dürfte klar sein: Für die Umsetzung einer Cloud-Strategie bei einer Versicherung ist eine detaillierte und systematische Auseinandersetzung mit der Regulatorik unumgänglich. Umso mehr rücken daher eine dezidierte Risikoanalyse unter Berücksichtigung der Kritikalität des auszulagernden Prozesses, einer Bewertung der Cloud-Anbietereignung (Fähigkeit, wirtschaftliche Situation, regulatorischer Rahmen, geopolitische Lage u.a.) und Bewertung der Risiken für Integrität, Verfügbarkeit, Vertraulichkeit und Authentizität in den Vordergrund. Zusätzlich sind angrenzende Themenkomplexe wie das Berechtigungsmanagement oder mögliche Weiterauslagerungen zu beachten.

Welche Auswirkungen eine nicht gesetzeskonforme Cloud-Nutzung haben können, zeigen nicht zuletzt die hohen Strafen, die im Bereich Datenschutz und Cloud in den letzten Jahren auch innerhalb der Versicherungsindustrie verhängt wurden. Dies gilt insbesondere in den Bereitstellungsmodellen der Public Cloud oder Hybrid Cloud.

Grundsätzlich empfiehlt es sich, aktuell vorhandene Lücken durch ein regulatorisches Gap-Assessment zu ermitteln. Um die identifizierten Gaps zu schließen, ist ein priorisierter Meilensteinplan hilfreich, in dem konkrete Umsetzungsmaßnahmen beschrieben sind.

Vorgehensmodell – „Quick & Dirty“ oder nachhaltige Realisierung von Cloud-Vorteilen?

Autor Daniel Cano, Deloitte
Daniel Cano ist seit Oktober 2021 als Manager bei Deloitte (Webseite) im Bereich Risk Advisory Insurance tätig. Durch seine vorherige Tätigkeit bei KPMG im Non-Life Aktuariat weist er mehrjährige Erfahrung als Prüfungs- und Projektleiter in der Jahresabschlussprüfung nach HGB und Solvency II auf. Daniel Cano hält einen Diplomabschluss in Wirtschaftsmathematik (Ulm, Deutschland).

Wie lässt sich eine passende Migrationsstrategie bestehender Anwendungen in eine Cloud-Umgebung umreißen? Da die Nutzung neuer Technologien möglichst effizient erfolgen soll, liegt die Versuchung nahe, ohne zusätzliche Prüfung einen vereinfachten „Lift & Shift“-Ansatz zu verfolgen. Hierbei werden bestehende Anwendungen ohne Designanpassungen 1:1 in eine Cloud-Umgebung übertragen. Vorteile dieser Vorgehensweise: schnelle Umsetzbarkeit, Verzicht auf umfassende Code- oder Konfigurationsanpassungen sowie ein allgemein preiswertes Migrationsvorgehen. Allerdings bleiben bei einer derartigen Marschroute wesentliche Cloud-Vorteile auf der Strecke. Gartner hat 2011 mit dem sogenannten 5R-Modell bereits gangbare Vorgehensweisen benannt:  Neben den weitestgehenden Optionen „Rebuild“, bei der die Anwendung vollständig neu entwickelt wird, und „Refactor“, bei der Applikationen wesentlich verändert werden, um Cloud-Vorteile zu nutzen, existieren „minimal-invasivere“ Methoden. So kann ein „Replatforming“ je nach Anwendungslandschaft bereits ausreichen, um trotz minimaler Codeanpassungen – beispielsweise über eine veränderte Datenbankanbindung – und Infrastrukturanpassungen wesentliche Cloud-Vorteile zu heben.

Abhängig vom Stand des Applikationslebenszyklus wäre zusätzlich ein „Replace“, also die Ersetzung einer Anwendung durch eine Cloud-native Anwendung, eine denkbare Option. Positiver Nebeneffekt: eine schrittweise Vereinfachung des Anwendungsportfolios bei maximaler Realisierung von Cloud-Vorteilen.

Doch damit nicht genug:

Wesentliche Use-Cases-Vorteile entstehen etwa durch eine deutlich reduzierte Time-to-market, die bei nativen Cloud-Anwendungen durch schnellere Releasezyklen und Vermeidung von Downtimes erreicht werden kann. Damit gehen zumeist auch eine verbesserte Performance und Skalierbarkeit einher.”

Zusammenfassend gilt, dass eine Auswahl des passenden „R“ von der individuellen Anwendungslandschaft, der betriebswirtschaftlichen Zielsetzung und dem vorgesehenen Zeitrahmen abhängt und daher sorgfältig durchdacht und abgewogen werden muss.

Autor Markus Priller, Deloitte
Markus Priller ist seit Mai 2019 Director im Versicherungssektor bei Deloitte (Webseite) und seit über 15 Jahren in der Beratung für Versicherungsunternehmen tätig. Bevor er zu Deloitte kam, arbeitete Priller in verschiedenen Rollen bei amerikanischen und indischen IT-Beratungs- und Professional Services-Unternehmen. Markus Priller hat Master-Abschlüsse in Informatik (Bonn, Deutschland) und Betriebswirtschaftslehre (Duke University, USA und Frankfurt, Deutschland).

Was die Auswahl eines potenziellen Cloud-Providers angeht, sollte zudem eine mögliche aktuelle oder zukünftige Wettbewerbsposition des Anbieters sorgfältig mit dessen Industrieerfahrung, Kooperations- und möglichen Skalenvorteilen abgeglichen werden – nicht zuletzt  auch unter dem Gesichtspunkt, der in der Industrie unter dem geflügelten Ausdruck „nicht den Drachen füttern“ – sprich einen potentiellen Markt-Wettbewerber nicht stärker machen – bekannt ist. Unterm Strich ist es ratsam, eine gründliche, individuelle Abwägung unter VAIT-relevanten Third-Party Risk Management (TPRM)-Gesichtspunkten vorzunehmen.

Cloud als innovativer Ausgangspunkt für Analytics, Machine Learning und Co.

Auf der Hand liegt, dass die Cloud Ausgangspunkt und Wegbereiter für eine Vielzahl weiterer Digitalisierungs- und Modernisierungsprojekte mit wesentlichem Einfluss auf die IT-Landschaft sein kann, etwa in Bezug auf die serviceorientierte Bereitstellung von Versicherungskernprozessen, Bestandssystem-Funktionen und kundennahen Anwendungen. Hier wird nach unserer Wahrnehmung und der wesentlicher Marktteilnehmer in der Versicherungsbranche das Potential nicht ausgeschöpft.

Tatsächlich gehen die Einsatzmöglichkeiten um ein Vielfaches weiter:

Der Weg in die Cloud birgt nicht nur die Aussicht auf eine Performanceverbesserung, sondern auf Kostenreduktion, da sich die Effizienz durch einfachere und zentralere Wartungen erhöhen lässt.”

Außerdem bedeutet Cloud-Nutzung größere und flexibler einsetzbare Serverkapazitäten zugunsten einer besseren Datennutzung. Darauf aufbauend lassen sich unter Verwendung von Big Data Advanced Analytics und Machine Learning-Methoden einsetzen, die ohne die Cloud nicht effizient möglich wären. Rahmenbedingung hierfür ist jedoch der Gebrauch fairer, diskriminierungsfreier, transparenter und erklärbarer Algorithmen, was wiederum einen dezidierten Cloud Governance-Rahmen für Artificial Intelligence und Machine Learning voraussetzt. Impulse hierzu wurden bereits durch die EIOPA in ihrem „Report on artificial intelligence governance principles“ vom 17.06.2021 vorgelegt, im EU- und Länderrahmen kann mit weiterer regulatorischer Aktivität gerechnet werden.

Eine Investition, die sich auszahlt: Regulierungskonforme Cloud-Nutzung als Basis für weitergehende Lösungen

(Beispiele)

Die Erfüllung der geltenden aufsichtsrechtlichen Vorgaben und Empfehlungen schafft einen vertrauenswürdigen Rahmen für eine moderne Cloud-Struktur, während gleichzeitig das Risiko durch Strafzahlungen reduziert wird. (3) Für die Zukunft erwarten wir sowohl eine zunehmende Marktdurchdringung von Cloud-Lösungen im Versicherungsmarkt als auch eine Erhöhung der innerhalb der CIO-Funktion hierfür aufgewendeten Budgets. Inhaltlich führt der Weg über die initiale Einrichtung eines Cloud Competence-Centers und von dort aus zu einer Verbreiterung über die gesamte IT-Funktion – im gleichen Schritt mit der Ausweitung der Nutzung von Cloud-Lösungen im Infrastruktur- und Anwendungsportfolio. Auf dem kritischen Pfad liegt die zeitlich abgestimmte Einstellung qualifizierter Cloud- Experten sowohl auf technischer wie fachlicher und regulatorischer Ebene.

Letztlich ist ein guter Mix aus Pragmatismus, Effizienz und regulatorischer Compliance entscheidend, um sich im Versicherungsmarkt durch eine erfolgreiche Cloud-Transformation zu behaupten.Markus Priller und Daniel Cano, Deloitte

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert